作者 |付東杰上海控安可信軟件創新研究院來源 |鑒源實驗室社群 |添加微信號“TICPShanghai”加入“上海控安51fusa安全社區”

01

引 言

藍牙協議自1999年誕生以來，經過多個版本的演進，功能不斷完善，已經成為全球范圍內最重要的短距離無線通信標準之一，其廣泛應用于消費電子、物聯網、汽車電子及醫療設備等領域，例如手機、音響、車載娛樂系統等。

藍牙協議棧由藍牙技術聯盟（SIG）制定，通過精心設計的層次化結構，系統性地定義了從物理層射頻信號處理到應用層數據交互的完整通信流程。本文主要基于藍牙協議5.2版本對藍牙協議棧的架構進行分析介紹，藍牙核心系統采用“主機+控制器”的靈活架構，分為主機子系統（Host）和控制器子系統（Controller），二者之間一般通過標準化的主機控制器接口協議（HCI）進行通信。

02

藍牙架構與設計

藍牙協議4.0 版本之后，為更好地匹配物聯網、音頻設備等多樣化場景對功耗與傳輸速率的不同要求，藍牙技術逐漸演進為兩大分支：經典藍牙（BR/EDR）和低功耗藍牙（BLE），經典藍牙（BR/EDR）支持較高數據速率，適合音頻傳輸等大流量場景；低功耗藍牙（LE）則專注于極低功耗與低成本，適用于物聯網、穿戴設備等對電量敏感的應用。在這一背景下，藍牙的硬件架構也逐步形成了單模與雙模兩種形態。單模設備僅支持低功耗藍牙（BLE）或經典藍牙（BR/EDR）中的一種，而雙模設備則可同時集成兩類控制器，兼顧高速與低功耗，真正實現“一機多用”，靈活適配復雜應用場景。

藍牙協議棧如下圖所示，涵蓋了經典藍牙和低功耗藍牙，其劃分為了三大模塊，控制器子系統（Controller），主機控制器接口(HCI)，主機子系統（Host）。

控制器子系統是藍牙協議棧的硬件底層核心，直接負責射頻信號的收發與最基礎的鏈路控制，包括了射頻信號的調制解調、跳頻、鏈路管理以及數據包的空中收發，其設計直接決定了設備的無線通信性能、功耗及抗干擾能力。

主機控制器接口則是對控制器子系統和主機子系統之間的交互信息和格式進行標準化。

主機子系統是藍牙協議棧的智慧中樞，運行于設備的主處理器上，承載著協議棧中大多數的邏輯處理與決策功能。它通過HCI向下控制射頻硬件，并為上層應用提供豐富的接口。

2.1 控制器子系統

控制器子系統作為藍牙功能的硬件核心，位于協議棧底層，直接管理無線射頻鏈路及基礎連接控制。控制器子系統包含了物理層（PHY），鏈路層（LL），鏈路層鏈路管理協議（LMP），鏈路層控制協議（LLCP），物理層（PHY）收發無線電波，完成數模轉換，鏈路層（LL）構建鏈路、管理調頻與數據流，鏈路管理協議（LMP）和鏈路層控制協議（LLCP）分別基于經典和低功耗模式，精細化控制鏈路安全、功耗與行為。

1）物理層（PHY）

物理層是藍牙通信的硬件基礎，直接控制射頻芯片與天線，實現數字信號與無線電波之間的轉換，其主要功能包括：

調制解調：采用高斯頻移鍵控（GFSK）等調制方式，將數字比特流轉換為射頻信號發射，并解調接收到的信號還原為數據。

頻道與信道管理：工作在2.4 GHz ISM頻段（2402–2480 MHz）。經典藍牙使用79個物理信道，低功耗藍牙（BLE）使用40個信道，通過自適應跳頻（AFH）實時檢測并避開干擾信道，提升抗干擾能力。

多模式調制支持（BLE）：

·LE 1M PHY：默認模式，1 Mb/s速率，兼容性強。

·LE 2M PHY：速率提升至2 Mb/s，降低傳輸時長與功耗。

·LE Coded PHY：通過前向糾錯編碼提升接收靈敏度，支持遠距離通信（4倍距離），速率降至125/500 Kb/s。

功耗與信號控制：動態調整發射功率，優化能耗，檢測接收信號強度。

2）鏈路層（LL）

鏈路層是連接物理層與上層協議的樞紐，負責管理設備間的邏輯通信鏈路，其主要功能包括：

幀構建與校驗：將上層數據封裝為幀結構，添加地址、類型、校驗碼（CRC），確保數據完整性。

設備發現與連接控制：

·廣播與掃描（低功耗藍牙）：管理廣播信道，處理廣播報文（設備發現）與掃描請求。

·尋呼與查詢（經典藍牙）：執行設備發現與連接初始化。

連接管理與優化：

·跳頻同步：主導設備間按序列同步切換信道，規避干擾。

·時序管理：控制連接間隔、監督超時等參數，平衡實時性與功耗。

·應答與重傳：通過確認機制保證幀可靠傳輸，失敗時自動重發。

低功耗策略：設計休眠/喚醒時序，使設備在空閑時深度休眠，實現低功耗藍牙的超低功耗特性。

3）鏈路層鏈路管理協議（LMP）

鏈路層鏈路管理協議是經典藍牙獨有的控制協議，負責管理已建立連接的鏈路，其主要功能包括：

鏈路建立與安全：負責配對、身份驗證和加密的整個過程。

鏈路配置與管理：協商連接參數，如主從設備角色切換、調整發射功率以節省電量等。

鏈路維護與控制：管理連接的保持、休眠、呼吸模式，保證服務質量。

邏輯傳輸管理：管理用于同步面向連接（SCO/eSCO，主要用于音頻）和異步連接（ACL，主要用于數據）的不同邏輯通道。

4）鏈路層控制協議（LLCP）

鏈路層控制協議是低功耗藍牙的控制協議。它的設計理念與鏈路層鏈路管理協議完全不同，更加輕量、高效和快速，以滿足物聯網設備極低功耗的需求，其主要功能包括：

連接控制：管理連接的建立、更新（如連接間隔更新）和終止。

鏈路特性管理：處理加密啟動、頻道映射更新等功能。

連接參數更新請求：從設備可以主動向主設備請求更改連接參數（如間隔、延遲等），以優化功耗或吞吐量。

信道選擇算法：控制使用哪個射頻信道進行通信。

2.2 主機控制器接口（HCI）

HCI并非一個具體的硬件層，而是一個至關重要的標準接口協議。它為主機與控制器之間提供了一條雙向的命令與數據通道，是實現主機-控制器分離架構的關鍵。HCI嚴格定義以下幾種類型的數據包[2]：

·HCI命令包: 由主機發送至控制器，用于查詢或控制控制器狀態（如發起連接命令）。

·HCI事件包: 由控制器發送至主機，用于報告狀態或確認命令執行結果（如連接完成事件）。

·HCI ACL數據包: 負責在主機和控制器之間雙向傳輸上層的應用數據。

·HCI SCO數據包：用于雙向傳輸實時語音數據的“高速專車”，主要用于經典藍牙的語音傳輸，它為同步語音流保留固定帶寬，以保障通話的低延遲，但通常不進行錯誤重傳，而是優先保證流暢性。主要用于經典藍牙的耳機通話。

·HCI ISO數據包：這是為新一代LE Audio核心功能設計的“定時精準的列車”。它支持多設備同步接收音頻流，是實現藍牙音頻共享、多聲道音頻等高附加值功能的基礎，提供了比SCO更強大、更靈活的同步數據傳輸能力。

這些數據包可以通過多種物理傳輸方式進行傳輸，最常見的包括UART（串口，成本低）、USB（高速、即插即用）和SDIO（常用于嵌入式設備），其在設計時需通過相應的傳輸層驅動進行適配[3]。

2.3 主機子系統

主機子系統包括了邏輯鏈路控制與適配協議（L2CAP），安全管理協議（SMP），屬性協議（ATT），通用屬性配置文件（GATT），通用訪問配置文件（GAP），協議與配置文件間相互協作，構筑了藍牙設備實現互聯互通、服務發現與安全通信的高級能力，支撐起從音頻傳輸到物聯網感知的廣泛應用生態。

1）核心基礎協議與配置文件

·邏輯鏈路控制與適配協議（L2CAP）

L2CAP層位于主機子系統的底層，充當承上啟下的"交通樞紐"角色。其核心功能包括三個方面：一是協議復用，通過不同的信道標識符（CID）來區分上層多個協議或應用的數據流；二是數據包分段與重組，將大的上層數據包分割成適合鏈路層傳輸的片段并在接收端重新組裝；三是數據信道管理，管理面向連接的信道（基于CID尋址）和無連接信道（使用協議/服務復用器PSM注冊尋址）。

·通用訪問配置文件（GAP）

GAP是藍牙設備對外交互的"總章程"，定義了設備角色（Broadcaster、Observer、Peripheral和Central）、發現流程（可發現模式）、連接流程（可連接模式）以及廣播數據格式（包含設備名稱、服務UUID等關鍵信息）。

2）低功耗藍牙（BLE）

·安全管理協議（SMP）

安全管理協議是低功耗藍牙通信的安全基石，管理著配對、綁定和加密的全過程。其安全流程包括配對建立共享密鑰、綁定持久化存儲密鑰、使用LTK進行加密從而建立安全通信。在安全算法方面，支持LE Secure Connections（基于ECDH算法）和多種關聯模型（Numeric Comparison、Passkey Entry、Just Works、OOB）以適應不同應用場景。

·屬性協議（ATT）與通用屬性配置文件（GATT）

ATT采用客戶端-服務器（C/S）模型，將數據抽象為屬性（Attribute）單元，每個屬性包含句柄（Handle）、類型（Type）、值（Value）和權限（Permissions）。它定義了一套精簡的操作協議，如查找信息、讀請求、寫請求、通知和指示。

GATT構建在ATT之上，規定了屬性數據的組織方式與結構，采用層次化的數據模型：服務（Service）是完成特定功能的數據集合，由主服務聲明開啟；特征（Characteristic）是服務中的單個數據值及其關聯信息，是實際交互的基本單元；描述符（Descriptor）提供特征值的附加定義、配置或信息。這種清晰的層級結構使得不同設備間的數據交互具備了極強的語義一致性和互操作性。

3） 經典藍牙（BR/EDR）

·服務發現協議（SDP）

作為經典藍牙中服務發現的核心機制，SDP用于查詢對端設備提供的服務及其特性，包括服務類別、協議棧信息、服務屬性等。它采用客戶端-服務器架構，客戶端通過SDP查詢可發現服務器端提供的服務記錄及其屬性。

·應用配置文件架構

經典藍牙主要依賴配置文件（Profile）來定義應用層功能，一個Profile本質上是一份詳細的合作協議，它精確定義了為了完成某種特定任務，設備之間應如何調用底層協議棧的各項能力。

常見的經典藍牙配置文件（Profile）舉例：

03

總 結

藍牙協議棧憑借其高度結構化、模塊化的分層設計，成功構建了一個適應性強且可擴展的通信框架，完美適配了從高速數據傳感到低功耗物聯網的廣泛場景。其通過LE Audio、Mesh網絡等技術的持續演進，不僅展現了強大的向后兼容性，更體現了該標準不斷融入前沿技術創新以滿足未來多樣化應用需求的核心能力，鞏固了其在短距離無線通信領域的基石地位。隨著藍牙技術應用范圍的不斷擴大，其協議棧的安全性也顯得尤為關鍵。

上海控安針對工業控制系統通信網絡中普遍存在的網絡安全風險與潛在漏洞，自主研發了SmartRocket TestSec自動化智能模糊滲透測試平臺。該產品基于黑盒測試技術，面向工控軟件生態實現全棧覆蓋能力，可對協議棧、業務應用、數據庫及操作系統內核等關鍵層級實施深度安全檢測。

在功能架構上，TestSec創新性地融合了動態模糊測試（Fuzzing）與滲透攻擊模擬雙引擎。TestSec搭載智能變異引擎，支持對藍牙HCI、L2CAP、SDP、SMP、PBAP等多個協議進行模糊測試，以SDP協議為例：

（1）協議結構解構：針對SDP協議多種報文格式進行字段級變異模糊測試。

（2）深度監控體系：集成流量監控、內存狀態追蹤和異常行為感知模塊，構建侵入式/非侵入式監控套件監測網絡。

（3）智能反饋機制：實時采集被測對象的響應數據，動態分析系統狀態并評估測試效果，據此智能優化模糊報文生成策略。

此外工具也支持對藍牙進行滲透攻擊，包括重放攻擊、篡改攻擊、低功耗藍牙中間人攻擊等常見藍牙網絡攻擊，用戶也可根據自身需求，結合工具的基礎接口開發自定義用例。

通過構建從軟件行為層到協議邏輯層的立體化測試矩陣，SmartRocket TestSec自動化智能模糊滲透測試平臺可對目標網絡進行全生命周期的安全測試，保障運行環境的穩定性，有效提高系統抗攻擊能力。

文中術語表

參考文獻：

1. 趙義玲.基于低功耗藍牙的工業物聯網移動開發研究與設計[D].齊魯工業大學,2025.DOI:10.27278/d.cnki.gsdqc.2025.000291.

2. 李想.藍牙協議棧的設計與實現[D].西安電子科技大學,2007.

3. 梁軍學,郁濱.Linux藍牙協議棧的USB設備驅動[J].計算機工程,2008,(09):273-275.

審核編輯 黃宇